Se acerca el RGPD: los profesionales del marketing por correo electrónico se preparan

Publicado: 2018-04-05

El Reglamento del parlamento de la UE 2016/679 sobre la protección de datos personales GDPR entrará en vigor el 25 de mayo de 2018. Hemos estudiado sus principios fundamentales, nuevos requisitos y posibles multas por su violación. En este artículo, compartiremos algunos puntos que un vendedor de correo electrónico debe tener en cuenta para trabajar en cumplimiento de la nueva legislación.

¿Qué es el RGPD?

El marketing digital se basa en el análisis de grandes volúmenes de datos de consumidores. Esta información permite a las empresas crear productos o servicios relevantes y lograr altos resultados.

Los sitios web guardan archivos de cookies en las PC de sus usuarios para conocer sus preferencias; Los operadores de telefonía móvil rastrean las llamadas entrantes y salientes y las registran. Facebook emplea el reconocimiento facial para identificar y etiquetar a los usuarios en las fotos. Instagram organiza las publicaciones en su feed según la cantidad de vistas, me gusta y comentarios. Sin embargo, los datos deben procesarse de manera justa y legal. Es por eso que las nuevas reglas de protección de datos, el Reglamento General de Protección de Datos (GDPR), están entrando en vigencia. De acuerdo con este Reglamento, las empresas que recopilan, almacenan, utilizan los datos personales de los clientes o los procesan para otras empresas, deben revisar tres aspectos principales del procesamiento de datos:

  1. Recopilación de datos.
  2. Procesamiento, almacenamiento, adecuación, descarte o cesión de la información recopilada.
  3. Protección de datos personales.

¿A quién se aplica el RGPD?

Además de los datos recibidos y procesados ​​por las empresas ubicadas en la UE, el GDPR se aplicará a cualquier información personal transferida fuera de la zona de la UE. En otras palabras, si una empresa estadounidense recopila datos de ciudadanos de la UE, estará sujeta a los mismos requisitos de protección de datos que cualquier empresa con sede en Francia, Alemania o cualquier otro país de la Unión Europea.

Partes responsables

Veamos quién está involucrado en la recopilación, procesamiento y almacenamiento de datos personales y qué funciones realizan:

  1. El interesado es una persona que proporciona sus datos personales.
  2. El controlador de datos es una persona física o jurídica que recibe los datos personales y determina los fines y los medios de su procesamiento. El término se refiere a cualquier empresa que recopile y utilice los datos personales de los clientes. Informa a los usuarios sobre los propósitos de la recolección de datos, documenta su procesamiento, evalúa los riesgos asociados, resguarda la información sensible y notifica a las autoridades supervisoras y a los usuarios sobre cualquier problema que pueda surgir en el proceso.
  3. El procesador de datos es el contratista que recopila, procesa y almacena datos personales en nombre del controlador de datos. En el marketing por correo electrónico, este papel lo desempeñan comúnmente los servicios de correo electrónico. En caso de cualquier infracción, el encargado del tratamiento informa al responsable del tratamiento.
  4. La autoridad supervisora es un organismo oficial que supervisa el procesamiento de datos personales. Determina la gravedad de la violación de la seguridad de los datos e impone las multas correspondientes a las partes responsables.

Sanciones por incumplimiento

Las posibles multas por incumplimiento del RGPD son severas. Se dividen en dos grupos según el tipo de infracción.

Hasta 10 millones de €

Una empresa puede ser multada con hasta 10 millones de euros o el 2% de su facturación anual en el año anterior, lo que sea mayor, por violar las responsabilidades del responsable del tratamiento y del responsable del tratamiento. Estos incluyen el consentimiento para procesar los datos personales de un niño y la protección de la privacidad.

Hasta 20 millones de €

Se impondrá una multa que ascienda a 20 millones de euros o al 4% de la facturación anual de la empresa, por infracción de las normas básicas del RGPD, como las que regulan los derechos de los interesados, los principios de tratamiento y transferencia de datos o el consentimiento. requisitos.

Si la infracción no es grave, la empresa recibirá una reprimenda.

Ahora echemos un vistazo más de cerca a los principios clave del procesamiento de datos de acuerdo con el GDPR.

Licitud, equidad y transparencia

La empresa debe explicar de forma clara y explícita por qué y en qué condiciones recopila datos personales. Los usuarios deben tener acceso gratuito a esta información, lo que les hará conocer las formas en que se utilizarán los datos recopilados y los riesgos a los que se enfrentan, las normas que deben cumplir y los derechos que pueden ejercer con respecto a sus datos personales. información.

Los especialistas en marketing por correo electrónico suelen utilizar imanes de oportunidades de venta para atraer suscriptores. Ofrecen incentivos, como períodos de prueba gratuitos, artículos, manuales u otro contenido útil, a cambio de los datos de contacto del usuario.

Para que este método de recopilación de datos cumpla con los requisitos de GDPR, asegúrese de recibir el consentimiento explícito de los usuarios para el almacenamiento y procesamiento de su información personal. Dicho consentimiento puede evidenciarse mediante una clara acción afirmativa del suscriptor, como

  • marcando una casilla de verificación,
  • elegir configuraciones de cuenta específicas,
  • cualquier otra acción o documento que demuestre que el suscriptor conoce los métodos de procesamiento de datos.

Cómo obtener el consentimiento explícito en el marketing por correo electrónico

Anime a los usuarios a revisar la política de privacidad y los términos de uso antes de suscribirse. En estos documentos, explique en detalle cómo recopila, sistematiza, almacena, adapta y elimina los datos de los clientes.

Recomendamos utilizar la configuración de suscripción doble opt-in para crear su lista de correo. A diferencia del opt-in único, donde el usuario final solo inserta su dirección de correo electrónico y presiona el botón de suscripción, la suscripción de opt-in doble requiere que el usuario también haga clic en el enlace o presione un botón en el correo electrónico de confirmación. De esta manera, el suscriptor demuestra un consentimiento genuino para el procesamiento y almacenamiento de su información personal.

Como alternativa, para protegerse de acusaciones no deseadas, es mejor agregar dos casillas de verificación de suscripción separadas a su formulario de suscripción, como puede ver en el ejemplo a continuación. El usuario confirmará haber revisado la política de privacidad y las condiciones de uso en la primera casilla de verificación y manifestará su consentimiento para recibir correo electrónico de su sitio web en la segunda. Sin embargo, asegúrese de no marcar las casillas de verificación de antemano, ya que dicho consentimiento "forzado" viola los principios del RGPD.

Formulario de suscripción

No dude en hacer uso de otros canales de comunicación. Hay varias otras formas de contactar a sus clientes potenciales sin enviarles un correo electrónico. La notificación de inserción web es otra excelente manera de atraer a nuevos visitantes. Al suscribirse a los mensajes push web, los usuarios no necesitan proporcionar ningún dato personal, sin embargo, expresan su consentimiento explícito presionando el botón "Permitir notificaciones".

Ejemplo de inserción web

Con un empuje web, puede notificar al usuario sobre noticias, ofertas especiales y otros eventos importantes.

Empuje web de escritorio

Minimización de datos

El Reglamento alienta a los especialistas en marketing a recopilar solo los datos relevantes de los clientes que se utilizarán para fines específicos. Si necesita saber la talla de ropa del suscriptor o el color que prefiere, asegúrese de explicar por qué esta información es importante. De lo contrario, es mejor abstenerse de recopilar dichos datos.

Evite solicitar información adicional

Recomendamos limitar la información recopilada y revisar detenidamente las preguntas planteadas en los formularios de suscripción y cuestionarios.

Por ejemplo, una empresa de turismo de la Oficina de Viajes y Turismo de Massachusetts agrega una encuesta a su campaña de correo electrónico de Halloween, limitando sus preguntas a aquellas que pueden ayudar a la empresa a ofrecer recorridos relevantes a sus clientes.

Encuesta de Halloween

Al presionar el botón "Responder encuesta", el suscriptor accede a las páginas que requieren que proporcione la siguiente información:

  • la edad,
  • información sobre niños,
  • ciudades de Massachusetts que les gustaría visitar,
  • tiempo preferido para viajar: fines de semana o días laborables,
  • actitud hacia el entretenimiento con temática de Halloween.

Precisión

De acuerdo con este principio, el usuario puede cambiar su información personal si resulta ser irrelevante o desactualizada. Dichas solicitudes deben procesarse a tiempo, por lo que es posible que deba desarrollar un sistema de actualización de datos eficaz.

Anime a sus suscriptores a actualizar sus preferencias

Agregue un enlace a la página de configuración de su correo electrónico (preferencias de correo electrónico, preferencias de actualización, administración de preferencias) o utilice un servicio que le permitirá actualizar los datos del cliente. Si la cuenta del usuario tiene una página de configuración, puede hacer clic en el enlace y actualizar su información personal ellos mismos. Eche un vistazo a la forma en que Astley Clarke maneja esta tarea en su correo electrónico.

Esto es lo que el usuario puede cambiar en su perfil de Astley Clarke.

Mi página de preferencias

Limitación de propósito

Recopilar y utilizar datos personales solo para los fines especificados. No oculte sus intenciones a los usuarios y siempre pídales que confirmen su consentimiento si necesita utilizar sus datos para un propósito diferente.

Asegúrese de que sus suscriptores sepan la verdad

Para no buscar el consentimiento de los usuarios con demasiada frecuencia, piense de antemano en los posibles propósitos de la recopilación de datos e indíquelos claramente en su política de privacidad.

Por ejemplo, los datos personales pueden ser necesarios para

  • Registro de cuenta,
  • consultas del servicio de asistencia,
  • prestación de servicios o productos,
  • enviar noticias, ofertas especiales o actualizaciones sobre el producto.

Limitación de almacenamiento

Las empresas pueden almacenar los datos de los clientes solo durante el tiempo que sea necesario para su procesamiento.

Considere la política de almacenamiento de datos

En una sección separada de la política de privacidad, describa cuánto tiempo se almacenarán los datos y qué sucederá si el suscriptor decide optar por no participar.

Integridad y confidencialidad

La empresa es responsable de la seguridad de los datos recopilados, lo que significa que debe protegerlos del procesamiento ilegal y contra pérdidas, daños o destrucción accidentales.

En caso de violación de datos, asegúrese de notificar al usuario y a las autoridades nacionales de protección de datos dentro de las 72 horas posteriores al accidente. La notificación debe incluir el informe sobre la investigación del incidente, las posibles causas y la descripción de las intervenciones que se hayan realizado. Todos estos son necesarios para una reacción oportuna por parte de los interesados ​​y la minimización de las pérdidas económicas y otras consecuencias no deseadas.

Asegúrese de que los datos estén protegidos y anime a los usuarios a hacerlo

Es ilegal comprar, transferir o divulgar información personal. Aconsejar a los usuarios registrados que hagan confiable su contraseña, que la cambien de vez en cuando y que nunca la revelen a terceros.

Transfiera los datos personales de las hojas de cálculo de Excel y los archivos de Google Docs a su sistema CRM para mejorar la seguridad y conveniencia del procesamiento de datos.

Derechos del interesado

Los nuevos requisitos de GDPR amplían las reglas de los ciudadanos de la UE con respecto al control de sus datos personales. El responsable del tratamiento es el responsable de conceder estos derechos a los usuarios.

Acceso a los datos

No limite el acceso de los usuarios a los datos. Informarles sobre quién utiliza los datos recopilados y con qué fines. Indique el período de almacenamiento de datos.

Portabilidad de datos

Ahora el cliente es elegible para recibir una copia digital de sus datos personales dentro de los 30 días siguientes a su solicitud. Este desarrollo facilita al usuario cambiar a un servicio diferente.

Borrado de datos

El usuario puede revocar su consentimiento para el procesamiento de datos y enviar una solicitud para su eliminación. Asegúrese de reaccionar a tales solicitudes sin demoras. Para el marketing por correo electrónico, significa eliminar los datos del cliente de todas las listas de correo. Un enlace de cancelación de suscripción directo enviado con un correo electrónico acelerará el proceso. En otras palabras, si el suscriptor no desea recibir correos electrónicos de su sitio web, simplemente puede hacer clic en el botón correspondiente o en el enlace "Cancelar suscripción".

Darse de baja por correo electrónico

En el servicio SendPulse, no tendrá que eliminar manualmente los datos de cada usuario dado de baja. Las direcciones de correo electrónico de dichos usuarios se transfieren a la lista de destinatarios no suscritos y el correo electrónico no se envía a esas direcciones.

Usuarios no suscritos

Preferencias de procesamiento de datos

Si al usuario no le gusta la idea del tratamiento automatizado de datos, puede solicitar que su perfil se rellene manualmente. Describe en tu política de privacidad cómo manejas el procesamiento manual de datos y quién lo lleva a cabo.

Protección infantil

Para recopilar datos personales de niños menores de 16 años, asegúrese de obtener el consentimiento de los padres. No olvide indicar en la política de privacidad cómo exactamente se suscribirán los niños al correo electrónico.

Resumiendo

Para cumplir con todos los requisitos del RGPD y evitar posibles multas, le recomendamos comenzar con estos siete pasos:

  1. Elija la configuración de suscripción para crear su lista de correo.
  2. Agregue dos casillas de verificación a su formulario de suscripción, a saber, "He revisado la política de privacidad y los términos de uso" y "Acepto recibir notificaciones del servicio".
  3. No recopile ninguna otra información que no sea la que necesita para sus fines específicos e informe a sus usuarios sobre ella.
  4. Incluya un enlace a la página "administrar preferencias" para que el suscriptor cambie la información desactualizada por sí mismo.
  5. Desarrollar mecanismos para proteger los datos personales contra la divulgación, daños o pérdidas.
  6. Revise su lista de correo actual.
  7. Las direcciones de correo electrónico de los suscriptores que no han expresado su consentimiento explícito para la recopilación y el procesamiento de sus datos personales deben volver a suscribirse o eliminarse. Solicíteles que confirmen su consentimiento para recibir su correo electrónico e infórmeles sobre las nuevas reglas de recogida de datos que se reflejan en la política de privacidad de su empresa.

Descargo de responsabilidad: Hemos proporcionado esta información para ayudarlo a comprender mejor cómo hemos abordado algunos puntos legales importantes. No es lo mismo que el asesoramiento legal, donde un abogado aplica la ley a sus circunstancias específicas, por lo que le recomendamos que consulte a un abogado para obtener asesoramiento sobre su interpretación de esta información o su precisión.